offene Ports allgemein

[sys_op]

Hallo
Ich habe hier einen Server, der mit ssh, Mysql, Apache, drbd, postfix als Satellietensystem und heartbeat läuft, sonst ist nichts installiert.
Um offene Ports zu kontrollieren habe ich ein

Code: Alles auswählen

nmap -O IP

laufen lassen und bekomme folgende Anzeige:

Code: Alles auswählen

Not shown: 994 closed ports
PORT    STATE    SERVICE
22/tcp  open     ssh
80/tcp  open     http
111/tcp open     rpcbind
139/tcp filtered netbios-ssn
443/tcp open     https
445/tcp filtered microsoft-ds

Nun habe ich keinerlei MS Dieste (Samba o.ä.) installiert und frage mich natürlich, woher die Ports 139 und 445 kommen.

ein netstat -lp zeigt mir auch keine lauschenden Dienste an.

Code: Alles auswählen

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 localhost:mysql         *:*                     LISTEN      25923/mysqld    
tcp        0      0 *:41675                 *:*                     LISTEN      -               
tcp        0      0 *:56587                 *:*                     LISTEN      971/rpc.statd   
tcp        0      0 *:sunrpc                *:*                     LISTEN      959/portmap     
tcp        0      0 *:ssh                   *:*                     LISTEN      3445/sshd       
tcp        0      0 localhost:smtp          *:*                     LISTEN      2859/master     
tcp6       0      0 [::]:www                [::]:*                  LISTEN      25648/apache2   
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      3445/sshd       
tcp6       0      0 [::]:https              [::]:*                  LISTEN      25648/apache2   
udp        0      0 *:694                   *:*                                 10061/heartbeat: wr
udp        0      0 *:58308                 *:*                                 971/rpc.statd   
udp        0      0 *:49351                 *:*                                 10061/heartbeat: wr
udp        0      0 *:723                   *:*                                 971/rpc.statd   
udp        0      0 *:sunrpc                *:*                                 959/portmap     
udp        0      0 *:48532                 *:*                                 -               
Aktive Sockets in der UNIX-Domäne (Nur Server)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Pfad
unix  2      [ ACC ]     STREAM     HÖRT         4563     1145/acpid          /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     HÖRT         641745   25923/mysqld        /var/run/mysqld/mysqld.sock
unix  2      [ ACC ]     STREAM     HÖRT         380485   2859/master         public/cleanup
unix  2      [ ACC ]     STREAM     HÖRT         380497   2859/master         private/rewrite
unix  2      [ ACC ]     STREAM     HÖRT         380501   2859/master         private/bounce
unix  2      [ ACC ]     STREAM     HÖRT         380492   2859/master         private/tlsmgr
unix  2      [ ACC ]     STREAM     HÖRT         380505   2859/master         private/defer
unix  2      [ ACC ]     STREAM     HÖRT         380509   2859/master         private/trace
unix  2      [ ACC ]     STREAM     HÖRT         380513   2859/master         private/verify
unix  2      [ ACC ]     STREAM     HÖRT         380517   2859/master         public/flush
unix  2      [ ACC ]     STREAM     HÖRT         380521   2859/master         private/proxymap
unix  2      [ ACC ]     STREAM     HÖRT         380525   2859/master         private/proxywrite
unix  2      [ ACC ]     STREAM     HÖRT         380529   2859/master         private/smtp
unix  2      [ ACC ]     STREAM     HÖRT         380533   2859/master         private/relay
unix  2      [ ACC ]     STREAM     HÖRT         380537   2859/master         public/showq
unix  2      [ ACC ]     STREAM     HÖRT         380541   2859/master         private/error
unix  2      [ ACC ]     STREAM     HÖRT         380545   2859/master         private/retry
unix  2      [ ACC ]     STREAM     HÖRT         380549   2859/master         private/discard
unix  2      [ ACC ]     STREAM     HÖRT         380553   2859/master         private/local
unix  2      [ ACC ]     STREAM     HÖRT         380557   2859/master         private/virtual
unix  2      [ ACC ]     STREAM     HÖRT         380561   2859/master         private/lmtp
unix  2      [ ACC ]     STREAM     HÖRT         380565   2859/master         private/anvil
unix  2      [ ACC ]     STREAM     HÖRT         380569   2859/master         private/scache
unix  2      [ ACC ]     STREAM     HÖRT         380573   2859/master         private/maildrop
unix  2      [ ACC ]     STREAM     HÖRT         380577   2859/master         private/uucp
unix  2      [ ACC ]     STREAM     HÖRT         380581   2859/master         private/ifmail
unix  2      [ ACC ]     STREAM     HÖRT         380585   2859/master         private/bsmtp
unix  2      [ ACC ]     STREAM     HÖRT         380589   2859/master         private/scalemail-backend
unix  2      [ ACC ]     STREAM     HÖRT         380593   2859/master         private/mailman
unix  2      [ ACC ]     STREAM     HÖRT         4824     1445/ha_logd: read  /var/lib/heartbeat/log_daemon
unix  2      [ ACC ]     STREAM     HÖRT         76276    10056/heartbeat: ma /var/run/heartbeat/register

Wie kommt nmap also nun dazu, mir 2 MS-Ports anzuzeigen und vor allem, woher kommen die offenen Ports, da ja angeblich nichts dort lauscht.

[uname]

Habe gerade keine Lust deine Ausgaben zu lesen. Aber ich mache das immer so.

Code: Alles auswählen

lsof -i

Im übrigen scheinen die Ports nicht offen zu sein.

[Natureshadow]

Äh ... da steht filtered, nicht open?

[sys_op]

Hallo
Nun läuft hier eine Firewall, die den Verkehr mitschneidet. es findet offensichtlich Verkehr auf Port 139 statt. Mal ein Auszug aus dem Log:

Code: Alles auswählen

IN=eth0 OUT=eth1 SRC=SERVER_IP DST=NETZ_IP LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=50503 DPT=139 WINDOW=0 RES=0x00 RST URGP=0 

SERVER_IP ist die IP des Servers
NETZ_IP ist ein Rechner im Netzwerk.

lsof -i ergibt:

Code: Alles auswählen

portmap     959   daemon    4u  IPv4   4274      0t0  UDP *:sunrpc 
portmap     959   daemon    5u  IPv4   4283      0t0  TCP *:sunrpc (LISTEN)
rpc.statd   971    statd    4u  IPv4   4308      0t0  UDP *:723 
rpc.statd   971    statd    6u  IPv4   4317      0t0  UDP *:58308 
rpc.statd   971    statd    7u  IPv4   4320      0t0  TCP *:56587 (LISTEN)
sshd       1186     root    3u  IPv4 359528      0t0  TCP blabla:50483 (ESTABLISHED)
sshd       1189   worker    3u  IPv4 359528      0t0  TCP blabla:50483 (ESTABLISHED)
sshd       3445     root    3u  IPv4  10390      0t0  TCP *:ssh (LISTEN)
sshd       3445     root    4u  IPv6  10392      0t0  TCP *:ssh (LISTEN)
heartbeat 10061     root    5u  IPv4  76262      0t0  UDP *:49351 
heartbeat 10061     root    6u  IPv4  76263      0t0  UDP *:694 
heartbeat 10062     root    5u  IPv4  76262      0t0  UDP *:49351 
heartbeat 10062     root    6u  IPv4  76263      0t0  UDP *:694 
apache2   25648     root    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   25648     root    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
apache2   25658 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   25658 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
apache2   25664 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   25664 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
apache2   25708 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   25708 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
apache2   25715 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   25715 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
apache2   25743 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   25743 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
mysqld    25923    mysql   10u  IPv4 641744      0t0  TCP localhost:mysql (LISTEN)
apache2   26143 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   26143 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
apache2   26149 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   26149 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
apache2   26156 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   26156 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
apache2   26160 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   26160 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
apache2   26227 www-data    5u  IPv6 640906      0t0  TCP *:www (LISTEN)
apache2   26227 www-data    7u  IPv6 640910      0t0  TCP *:https (LISTEN)
sshd      26856     root    3r  IPv4 650583      0t0  TCP blabla:54126 (ESTABLISHED)
sshd      26859   worker    3u  IPv4 650583      0t0  TCP blabla:54126 (ESTABLISHED)
master    27126     root   12u  IPv4 652524      0t0  TCP localhost:smtp (LISTEN)

[Natureshadow]

Hallo,

natürlich ist da Traffic - du hast den Port ja auch gescannt!

Das da sieht aber nach internem Netz aus, schreibst du ja auch selber. Aber das Paket, das du da im Log zeigst, hat nur ein RST-Flag gesetzt, es ist also kein Datenverkehr.

Und er ist nicht offen - deine Firewall hat den Verkehr abgewiesen (Ergebnis: filtered)!

Bist du dir sicher, dass du internet-facing Firewalls betreiben solltest? Ich hoffe, du machst das nicht produktiv ?

-nik

[uname]

"lsof -i" sieht in Ordnung aus. Iptables kann ich nicht lesen. Mögen aber TCP-Anfragen sein, die nicht per ACK beantwortet werden. Bin mir da aber nicht sicher.

[sys_op]

Der Traffgic ist nicht vom scannen.
Das mit der Firewall hat schon so seine Richtigkeit, da kümmern sich Andere drum, geht mich nichts an .
Mich interessiert nur, woher der Traffic kommt, der vom Server ausgeht.

SRC=SERVER_IP -> Ursprung also Serever.
DST=NETZ_IP -> also Anfrage ans Netzwerk.
DPT -> Port des Zielrechners.

Was sollte sich da auf den Zielport 139 verbinden wollen?

[Natureshadow]

Irgendwie meine ich, mich zu wiederholen ...

Das Paket aus deinem Log hat ein RST-Flag gesetzt. Es ist die Antwort des Servers an einen Client und zwar mit der Aussage, hier gibt es keine Verbindung.

-nik

[sys_op]

Danke,
wieso habe ich das nun schon gefühlte 100.000 Mal übersehen? Wenn man Stunden drüber hängt, wird man wohl betriebsblind

gelöst